Accord de Traitement des Données

DPA — A/Lex

Accord relatif au traitement des données à caractère personnel conformément à l'article 28 du RGPD (Règlement UE 2016/679). Version 2026-04-19.

Responsable de traitement :: l'Avocat utilisateur d'A/Lex (ci-après « le Client »)
Sous-traitant :: MERX POLEOS SAS — exploitant A/Lex — SIRET 849 451 166 00029 — 8 Boulevard Marchant Duplessis, 37000 Tours — RCS Tours
Représentant légal :: Pierre Seigne, Président
Contact :: contact@disalex.com

⚖ Cet accord est automatiquement conclu lors de l'acceptation par le Client des Conditions Générales, et complète celles-ci pour tout traitement de données personnelles de tiers confiées à A/Lex.

1. Objet

Le présent DPA encadre les traitements de données à caractère personnel effectués par MERX POLEOS (ci-après « A/Lex ») pour le compte du Client, dans le cadre de la fourniture de la plateforme A/Lex. Il a pour objet de définir les conditions dans lesquelles A/Lex traite ces données au nom et pour le compte du Client.

2. Description du traitement

Dimension	Valeur
Finalités	Fourniture d'un assistant juridique IA : analyse de dossiers, extraction de données, rédaction assistée, transcription de rendez-vous, génération de documents.
Nature du traitement	Collecte, stockage chiffré (AES-256-CBC), analyse automatisée par IA (Anthropic Claude, OpenAI Whisper), restitution.
Types de données	Données d'identification (clients, parties adverses), données économiques, données juridiques (pièces, conclusions), données professionnelles, données vocales temporaires (RDV non stockés).
Catégories de personnes	Clients finaux du Client, parties adverses, enfants, conjoints, salariés, sociétés, autres personnes mentionnées dans les dossiers.
Durée	Pendant toute la durée d'abonnement du Client + 3 ans maximum après résiliation pour obligations légales. Suppression totale sur demande expresse.
Transferts hors UE	API Anthropic (serveurs UE privilégiés, fallback US sous clauses contractuelles types UE). Aucune donnée utilisée pour entraîner les modèles.

3. Obligations d'A/Lex (Sous-traitant)

3.1. Instructions du Client

A/Lex traite les données uniquement sur instruction documentée du Client. Le Client reste seul responsable de la détermination des finalités et moyens essentiels du traitement.

3.2. Confidentialité

A/Lex garantit que ses personnels autorisés à accéder aux données sont soumis à une obligation de confidentialité. Les données sont chiffrées en base (AES-256-CBC). Aucune donnée n'est utilisée pour l'entraînement de modèles IA.

3.3. Mesures de sécurité (art. 32 RGPD)

Chiffrement des données au repos (AES-256-CBC) et en transit (TLS 1.2+)
Authentification forte (bcrypt, JWT avec expiration)
Isolation stricte des données entre Clients
Sauvegardes quotidiennes chiffrées
Hébergement en France (OVH SAS, 2 rue Kellermann, 59100 Roubaix)
Audit log des accès administratifs
Politique de rotation des clés et mots de passe

3.4. Sous-traitants ultérieurs

Sous-traitant	Finalité	Localisation
OVH SAS	Hébergement infrastructure	France (UE)
Anthropic PBC	Modèle IA conversationnel (Claude)	UE en priorité, USA (CCT)
OpenAI OpCo LLC	Transcription audio (Whisper) — RDV non stockés	USA (CCT)
Stripe Payments Europe	Traitement paiements (hors données dossiers)	Irlande (UE)

A/Lex informera le Client de tout nouveau sous-traitant 30 jours avant, permettant au Client de s'y opposer et, le cas échéant, de résilier sans frais.

3.5. Droits des personnes concernées

A/Lex met à disposition du Client, dans un délai raisonnable, les moyens techniques lui permettant de répondre aux demandes d'exercice de droits (accès, rectification, effacement, portabilité, limitation, opposition) formulées par les personnes concernées par les traitements.

3.6. Notification des violations de données

A/Lex notifie au Client toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance, avec toutes les informations requises par l'art. 33 RGPD.

3.7. Assistance et documentation

A/Lex assiste le Client pour remplir ses propres obligations RGPD (AIPD si nécessaire, réponse à la CNIL) et met à disposition toute information démontrant le respect de ses obligations.

3.8. Sort des données en fin de contrat

Au terme du contrat, et selon instruction du Client : (i) restitution au format lisible (export JSON/DOCX) puis suppression sous 30 jours, ou (ii) suppression définitive sous 30 jours avec attestation écrite.

4. Obligations du Client (Responsable)

S'assurer que la collecte initiale des données de ses clients finaux est conforme au RGPD
Fournir les informations requises par les art. 13 et 14 RGPD à ses clients finaux
Maintenir son propre registre des traitements (art. 30 RGPD)
Documenter l'utilisation d'A/Lex comme sous-traitant dans ledit registre
Respecter le secret professionnel (art. 66-5 loi 1971 + RIN art. 2)

5. Responsabilité

La responsabilité d'A/Lex au titre du présent DPA est plafonnée dans les conditions prévues aux Conditions Générales d'Utilisation, sauf en cas de violation intentionnelle de ses obligations RGPD.

6. Durée et résiliation

Le présent DPA prend effet à la première utilisation du Service et prend fin automatiquement à la résiliation du contrat d'abonnement. Les obligations de confidentialité et de sécurité survivent à la résiliation pendant toute la durée de conservation autorisée.

7. Droit applicable et juridiction

Le présent DPA est soumis au droit français. Tout litige relève de la compétence exclusive des tribunaux de Tours.

8. Acceptation électronique

L'acceptation du présent DPA intervient par case à cocher lors de l'inscription sur la plateforme A/Lex, ou lors de la validation du premier dossier contenant des données personnelles de tiers. Cette acceptation électronique a valeur de signature conformément à l'art. 1367 du Code civil et au règlement eIDAS.

Pour A/Lex (Sous-traitant)

Pierre Seigne
Président, MERX POLEOS SAS
Date : acceptée électroniquement

Pour le Client (Responsable)

Maître _______________
Barreau de _______________
Date : _______________

— Version 2026-04-19 · MERX POLEOS SAS · Tours, France —